Tanımlanamayan tehdit aktörleri, özelliklerini, kaynak kodu WikiLeaks tarafından Kasım 2017’de yayınlanan ABD Merkezi İstihbarat Teşkilatı’nın (CIA) Hive çok platformlu kötü amaçlı yazılım paketinden alan yeni bir arka kapı konuşlandırdı.
“CIA Hive saldırı kitinin bir türünü ilk kez vahşi doğada yakaladık ve adını biz koyduk. xdr33 Qihoo Netlab 360’tan Alex Turing ve Hui Wang, geçen hafta yayınlanan teknik bir yazıda, yerleşik Bot tarafı sertifikası CN=xdr33’e dayalı” dedi.
xdr33’ün, F5 cihazındaki bir güvenlik açığından yararlanarak ve sahte Kaspersky sertifikalarıyla SSL kullanarak bir komut ve kontrol (C2) sunucusuyla iletişim kurarak yayıldığı söyleniyor.
Çinli siber güvenlik firmasına göre arka kapının amacı, hassas bilgileri toplamak ve sonraki izinsiz girişler için bir fırlatma rampası görevi görmek. Diğer uygulama değişikliklerinin yanı sıra yeni C2 yönergeleri ve işlevleri ekleyerek Hive’ı geliştirir.
ELF örneği ayrıca, sistem meta verilerini uzak sunucuya periyodik olarak sızdırarak ve C2 tarafından verilen komutları yürüterek bir İşaretçi olarak çalışır.
Bu, güvenliği ihlal edilmiş ana bilgisayardan kendi izlerini güncellemeye ve silmeye ek olarak rastgele dosyaları indirme ve karşıya yükleme, cmd kullanarak komutları çalıştırma ve kabuğu başlatma becerisini içerir.
Kötü amaçlı yazılım ayrıca, IP paketinin yükünde belirtilen C2 sunucusunu çıkarmak, bağlantı kurmak ve C2 tarafından verilen komutların yürütülmesini beklemek amacıyla belirli bir “tetikleyici” paket için ağ trafiğini gizlice dinlemek üzere tasarlanmış bir Tetikleme modülü içerir.
“İletişim detaylarında Trigger C2’nin Beacon C2’den farklı olduğunu belirtmekte fayda var; SSL tüneli kurduktan sonra, [the] bot ve Trigger C2, ikinci bir şifreleme katmanı oluşturmak için AES algoritmasında kullanılan paylaşılan bir anahtar oluşturmak için bir Diffie-Helllman anahtar değişimini kullanıyor” dedi.